본문 바로가기

🦾 보안 🦾/리버싱

(10)

[Practical Malware Analysis] Lab03-01.exe 분석 01. 분석환경1.1 분석 환경Windows10WindowsXP1.2 분석 도구PEView Resource Hacker PEiD Exeinfo PE strings IDA Pro OllyDbg depends SysAnalyzer Wireshark1.3 분석 샘플Practical Malware Analysis Labs - Lab03-01.exe 02.정적 분석2.1 패킹 여부 확인분석 도구 : PEiD분석 결과 : PEncrypt 3.1 Final → junkcode 로 표시됩니다. 이를 통해 파일이 패킹되었거나 암호화 되었음을 추측할 수 있습니다. 2.2 Import Address Table분석 도구 : Dependency Walker분석 결과 : kernel32.dll의 ExitProcess 함수만 확..

[Practical Malware Analysis] Lab01-04.exe 분석 01. 분석환경1.1 분석 환경Windows10WindowsXP1.2 분석 도구PEView Resource Hacker PEiD Exeinfo PE strings IDA Pro OllyDbg depends SysAnalyzer Wireshark1.3 분석 샘플Practical Malware Analysis Labs - Lab01-04.exe 02. 정적 분석2.1 PE 구조 확인SECTION .rsrc 영역에 PE 파일 형식이 삽입되어 있는 것을 확인할 수 있습니다. Resource Hacker를 사용해서 해당 파일을 추출하고 Lab01-04_inserted.exe로 저장합니다. 2.2 패킹 여부 확인Lab01-04.exe, Lab01-04_inserted.exe 파일 모두 Entry Point과 Fil..

[Practical Malware Analysis] Lab01-03.exe 분석 01. 분석환경1.1 분석 환경Windows101.2 분석 도구VirustotalPEiDexeinfo PEVmUnpackerDependencyWalkerPEStudioOllyDBGIDA1.3 분석 샘플Practical Malware Analysis Labs - Lab01-03.exe02. 정적 분석 과정2.1 패킹 확인Entrypoint, File Offset 의 차이를 통해서도 패킹된 것을 확인할 수 있습니다. FSG 1.0 으로 압축된 것으로 추측됩니다. VmUnpacker를 사용하여 언패킹을 진행 후 분석을 진행합니다. 2.2 Strings 확인파일 내부에 hxxp://www.malwareanalysis.book.com/ad.html URL이 저장되어 있는 것을 확인하였습니다. 2.3 IAT 확인..

[Practical Malware Analysis] Lab01-02.exe 분석 정적 분석01. 자동화 분석분석 도구 : virustotal.com, PEView분석 결과 :Lab01-02.exe : 57/72 탐지, V3, ALYac Trojan 으로 탐지 02. 패킹 여부 확인분석 도구 : Exeinfope, PEView분석 결과 :실행 파일의 섹션 이름이 upx0, upx1, upx2로 나타내는 것을 통해서 UPX로 패킹된것을 추측할 수 있다. 또, exeinfo를 사용하여서 UPX로 패킹 된 것을 다시 확인하였고, UPX를 사용하여 언패킹 진행 후 분석합니다. 03. strings 확인분석 도구 : strings, OllyDBG분석 결과 : 위와 같은 strings가 실행 파일에 저장되어 있는 것을 확인하였습니다. OllyDBG로 확인한 결과 HGL345는 뮤텍스 이름으로,..

[Practical Malware Analysis] Lab01-01.exe, Lab01-01.dll 분석 정적 분석자동화 분석분석 도구 : virustotal.com분석 결과 :Lab01-01.exe : 감지율 55/72, 알약, 안랩 등에서 백도어, Torjan 로 감지Lab01-01.dll : 감지율 47/73, 알약, Google 등에서 백도어, Torjan로 감지 패킹 여부분석 도구 : exeinfo분석 결과 :Lab01-01.exe, Lab01-01.dll 모두 패킹되지 않은 것을 확인하였고, Microsoft Visual C-++ 로 컴파일 되었음을 추측할 수 있습니다. 컴파일 시간분석 도구 : PEiD분석 결과 : Lab01-01.exe 는 2010/12/19 16:16:19 UTC 에 컴파일에, Lab01-01.dll 은 2010/12/19 16:16:38 UTC 에 컴파일 된 것으로 보아 L..

x86-64 어셈블리어 어셈블리 언어프로그래밍 언어(C, C++, JAVA, Python) 보다 저수준 언어로 컴퓨터가 이해할 수 있도록 만든 언어.종류 : IA-32(intel 32bit), x86-64, ARM, MIPS어셈블리어(Assembly Language)기계어와 일대일 대응이 되는 저수준 언어사용자가 이해하기 어려운 기계어 대신에 명령 기능을 쉽게 연상할 수 있는 기호를 기계어와 1:1로 대응시켜 코드화한 기호 언어기계어(Machine Language)프로그램을 나타내는 가장 낮은 단계의 개념.중앙처리장치(CPU)가 직접 판독하고 실행할 수 있는 비트(0과 1의 조합) 단위로 쓰인 컴퓨터 언어 기본구조기본형태 : 명령어(옵코드) + 인자(오퍼랜드)명령어 (옵코드) 명령 코드 설명데이터 이동(Data Transfer..

x86-64 CPU 레지스터 레지스터중앙처리장치(CPU)의 내부에 존재하는 고속 메모리로, 중앙처리장치의 요청을 처리하는 데 필요한 데이터를 일시적으로 저장하는 공간. 처리 후 해당 결과 값 역시 레지스터에 저장한 후 상황에 따라 메모리에 저장한다. 레지스터 단위OS 32/64bit : CPU가 한꺼번에 처리할 수 있는 데이터량을 말함 01. 범용 레지스터레지스터역할AX (Acumulator register)가장 많이 쓰이는 변수로, 각종 연산에 쓰임. 주로 리턴 값을 저장하거나 입출력 연산에 사용.DX (Data register)각종 연산에 쓰이는 변수로, 입출력 명령어와 곱셈과 나눗셈 연산에서 추가적엔 데이터로 사용CX (Counter register)반복문의 카운터로 사용, 미리 값을 정해놓고 0이 될 때까지 진행, 변수로 ..

CPU 구조 CPU (Central Processing Unit)CPU는 컴퓨터의 두뇌로, 명령어를 해석하고 연산을 수행하여 컴퓨터의 다른 하드웨어(HW)들을 제어하는 핵심 역할을 한다. 프로그램이 실행될 때, CPU는 메모리에서 명령어를 읽어 들이고 명령어를 해석 하여 필요한 연산을 수행한다. 그 결과를 다시 메모리에 기록하거나 다음 작업을 위해 다른 하드웨어 장치로 전송한다. Control UnitCPU의 운영 제어 역할을 하며, 하드웨어 컴포넌트 간의 효율적인 협업을 보장CPU에게 전달되는 바이너리 명령어를 해석다른 구성 요소들이 올바르게 동작하도록 제어프로그램 카운터를 통해 다음에 실행할 명령어의 위치를 추적명령어를 메모리에서 가져와 Fetching, Decoding, Execution 진행ALU (Arith..

이전 1 2 다음

티스토리툴바